標題: Pfsense 用家交流 [打印本頁]

---

作者: frankihk    時間: 2018-6-16 16:36     標題: Pfsense 用家交流

小弟應該接觸網絡應該有over 10年由buffalo,netgear,linksys等等....
不過呢1兩年轉左用pfsense 之後就返唔到轉頭，因為太好用!
小弟setup 係淘寶買張NIC加一部PC 已經夠曬

優點:
php web basic 既介面簡單易明:google 下,youtube 下已經夠用
由rules filter ,pfblockerng,snort,到openvpn,site-to-site vpn ,Load balance
只要你部PC唔係太雞,BT ,network share,基本上冇任何問題
Monitor,Log 好齊
穏定性極高，暫時開左成年都冇斷過(除左ISP/電力問題),基本上冇reboot 過(除非system update)

缺點:
暫時冇得裝落市面上既arm (e.g. raspberrypi)
成本較高:暫時點都要用pc 黎裝+NIC
電力需求較高(因為要用PC行)

唔知優/缺點:
opensource

其實仲冇好多野我都未玩/未用到/唔知點玩,但小弟公司幾個site 都用緊
p.s. 玩過ROS ，感覺比較玩多。極難使用....
歡迎交流

---

作者: 觀星是答案    時間: 2018-6-16 18:44


我係 taobao 買有 dual Intel NIC 既 mini PC 黎裝 pfsense
幾間屋 set site-to-site VPN

基本都係 mini PC (pfsense) + router (當 AP + switch 用) 就夠

---

作者: marcolee1314    時間: 2018-6-16 19:04

我買過淘寶j1900 4port裝，大概1200人仔，but無AES support
之後買左itx+nic用到宜家 貴 但有aes

Site to site, snort, pfblocker 好滿意

---

作者: fatdog    時間: 2018-6-16 22:14

TB I3-4010u aes 細細部
＄1300
hkbn 1000mb 冇難度

勁好用！

---

作者: 觀星是答案    時間: 2018-6-16 23:02

如果 Celeron 1037u 有 AES-NI ，我覺得可以再戰 10 年
我依家 d 1037u mini pc，site to site 都食盡 hkbn 1000M

---

作者: fireeye    時間: 2018-6-16 23:08

本帖最後由 fireeye 於 2018-6-16 23:11 編輯

行pfsense VM. 加每星期backup個VM. 所有VM keep三年！好使好用！
[attach]2065471[/attach]

---

作者: raywan    時間: 2018-6-17 02:29

回覆 1# frankihk


   pfsense 現在support ARM cpu,pfsense 出左ARM cpu hardware firewall, 你可以上網睇下
如果想用ARM cpu firewall,可以試下IPfire,我之前用過,好stable,無咩花巧野
小弟用左pfsense已經4~5年,部atom firewall有4~5年無關機多過一日,7*24不停工作,有O的想換新firewall,唔知邊隻atom cpu firewall好,但我要求一定要10W cpu以下,cpu support AES ,行dual intel lan,唔知有咩suggestion

---

作者: RCHK    時間: 2018-6-17 07:05

小弟新手 pfSense 行 OpenVPN site to site 好快又穩定
比用 fortigate 加佢個 VPN client 好好多

via HKEPC IR Pro 3.4.0 - iOS(2.3.2)

---

作者: volospin    時間: 2018-6-17 07:43

I used to build a PC for router (Intel PIII 1G...) at that time there are no pfsense (I think), just use Gentoo Linux + iptables
Now I think using a computer to do so is kind of waste of space (although I understand the function and speed is way superior then a router)
Now I only use router to install OpenWRT/LEDE for customize router.
Firewall or openVPN have not dig deep for it now.

---

作者: hinball    時間: 2018-6-17 07:54

啱啱身痕upgrade 左部 j1900 去3865u, 6lan , 有AES-NI
pfsense 最好用係有pfblockerng, block 哂D bad ip, 又可以block 哂D廣告，好正
同意pfsense 其實個介面好易用, 又多package 用
其實j1900 夠用有突, 身痕無計

---

作者: Evangeline    時間: 2018-6-17 09:59

我發覺pfsense 個upnp 好似唔work 咁, 唔知係咪set 錯~

---

作者: netm    時間: 2018-6-17 18:22

回覆 7# raywan


我淘左部 n3700 行 pfsense very good, 人仔 700有找
有 3 intel lan 有 aes-in, 6w

---

作者: takayo72    時間: 2018-6-17 18:51

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: netm    時間: 2018-6-17 20:11

回覆 13# takayo72


你 search "n3700 v2" 會搵到
wireless router 行 AP mode

---

作者: takayo72    時間: 2018-6-17 22:01

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: Evangeline    時間: 2018-6-17 22:07

key word :小馬軟路由

---

作者: 觀星是答案    時間: 2018-6-17 22:13


用任何 router 都可以，即使無 bridge mode 都得
1 ) router 同 pfsense 要 set 到同一 subnet (e.g. 192.168.1.1 ，192.168.1.2)
2 ) 將 pfsense 既 LAN 連去 router 既 LAN (記住唔係連去 router 既 WAN)
3 ) 關左隻 router 既 DHCP server 同 UPnP 功能

---

作者: raywan    時間: 2018-6-17 23:05

回覆 12# netm


    可否告知link

---

作者: raywan    時間: 2018-6-17 23:07




    有無enable先
external interface: WAN
interface: LAN

---

作者: raywan    時間: 2018-6-17 23:10




    WIFI: 192.168.1.2 subnet:255.255.255.0 DHCP: disable
Pfsense: 192.168.1.1 subnet:255.255.255.0 DHCP:enable
Pfsense(Lan port)<->WiFi(Lan port) not WAN port

---

作者: Evangeline    時間: 2018-6-17 23:52


有呀, 但qnap 仍然出唔到街

---

作者: netm    時間: 2018-6-18 00:02

yes, 小馬v2
用緊 POE splitter 供電, 部機 + 光纖modem 都係 10W only

---

作者: raywan    時間: 2018-6-18 00:12




    pfsense: status-->UPnP & NAT-PMP有無connection?
正常會有connection如果service support upnp
你試下用BT可唔可以用upnp?如果得,就係qnap firewall disable左

---

作者: fatdog    時間: 2018-6-18 12:21



qnap 出唔到街咪好囉
乜都 under vpn 先用到先正常

---

作者: Comeon    時間: 2018-6-18 13:03

想問下 n3700 呢 D 用電量極底既 U 可唔可以食到 1G NAT throughput?
如果玩埋 snort 呢D IDS 又頂唔頂到?

---

作者: raywan    時間: 2018-6-18 13:45

本帖最後由 raywan 於 2018-6-18 13:50 編輯

回覆 25# Comeon


    一定得,我用d2500行snort+pfblock都無問題
其實1G又好100G又好,要求cpu速度唔係好高,反而係行snort呢O的service要求cpu/RAM先高
cpu速度唔快,但好想行snort,可以改setting,inspect rule set唔樣樣都tick,search method set:AC-BNFA之類,多ram可選AC-STD

---

作者: 觀星是答案    時間: 2018-6-18 14:24


更慢既 CPU 都可以

---

作者: Evangeline    時間: 2018-6-18 23:11




Thanks. 我再試下先

---

作者: RCHK    時間: 2018-6-19 10:48

各位有冇小馬軟由路 v2 既內部圖片

via HKEPC IR Pro 3.4.0 - iOS(2.3.2)

---

作者: hinball    時間: 2018-6-19 10:51

http://www.ezpro.pro/forum-56-1.html
呢到有, 係幾好不過得三個lan 咁

---

作者: 觀星是答案    時間: 2018-6-19 11:24


配 switch 用
依家好多 nas 甚至底板都有 Dual LAN 甚至 4 LAN
買隻 16 ports switch 都未必夠玩

---

作者: RCHK    時間: 2018-6-19 11:45

回覆 30# hinball
呢幅圖我都睇過, 因為想知粒 N3700 個 heatsink 係咩樣

---

作者: 556556bt    時間: 2018-6-20 06:25

小馬v2 N3700 係淘寶好似係蟹LAN?!

---

作者: 樹下乘涼    時間: 2018-6-20 07:14

某寶D軟路由都唔知可以RUN到幾多PPS(當然越貴越勁)..唔敢落手..

---

作者: hinball    時間: 2018-6-20 08:16

回覆 33# 556556bt


    有intel lan 的

---

作者: 556556bt    時間: 2018-6-20 12:44




    any link please?

---

作者: hinball    時間: 2018-6-20 12:58

回覆 36# 556556bt


    https://item.taobao.com/item.htm ... &_u=ka1l0pd869a

---

作者: RCHK    時間: 2018-6-20 13:10

回覆 37# hinball
非常感興趣

---

作者: lcwing    時間: 2018-6-20 13:10


我就配24+2 SWITCH...

---

作者: lcwing    時間: 2018-6-20 13:11

我正找緊新DDNS 先轉用Pfsense

---

作者: 556556bt    時間: 2018-6-20 13:13




    good, 不知Intel I211 LAN  表現如何?!

---

作者: hinball    時間: 2018-6-20 13:23

回覆 41# 556556bt


    pfsense + intel 應該無問題

---

作者: hinball    時間: 2018-6-20 13:25

回覆 39# lcwing


    我就 6 lan router +個 8 port switch , 因為想分開 , AP 一個, nas 一個, 其他電腦一個

---

作者: RCHK    時間: 2018-6-20 14:32

---

作者: 觀星是答案    時間: 2018-6-20 15:00

本身想買 fitlet 2

https://fit-iot.com/web/products/fitlet2/

機身唔貴但運費好貴; 當時無出手
依家直頭無得 order 啦

---

作者: RCHK    時間: 2018-6-20 15:43

回覆 45# 觀星是答案
Looks cool~~~

---

作者: 雯雯    時間: 2018-6-20 23:20



同是

---

作者: takayo72    時間: 2018-6-27 09:49

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: kofz    時間: 2018-6-27 11:25



    不嬲都可以

基本上所有 port 任你set wan 定 lan

---

作者: TeraBytes    時間: 2018-6-27 11:36



要搞清楚lan port同nic既分別
嗰三個port寫明係intel 211 nic, 唔係home router lan port, 當然可以當wan

---

作者: takayo72    時間: 2018-6-27 11:40

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: takayo72    時間: 2018-6-27 11:42

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: RCHK    時間: 2018-6-27 12:12

回覆 52# takayo72
Intel 3865U 都夠又 support AES
https://ark.intel.com/zh-tw/prod ... U-2M-Cache-1_80-GHz

---

作者: kenfung    時間: 2018-6-29 09:18




    但3865 比 N3150 好似用多左電

---

作者: RCHK    時間: 2018-6-29 10:21

回覆 54# kenfung
當然，但上面位師兄果個淘寶 link 得 3865U，唔係就 i3/i5

---

作者: frankihk    時間: 2018-7-1 11:07

有個ssl 問題想問下各位C兄,假如我申請左domain 例如abc.com 。之後如果我想remote access 幾個site ( 我當然用向rules 度加返指定Ip 先可以入) 但問題係我想知張cert要點先可以變左valid certificates???

---

作者: minki    時間: 2018-7-1 15:10


https://www.sslforfree.com/

---

作者: 樹下乘涼    時間: 2018-7-1 18:32

回覆 1# frankihk


    借問聲你果部機係乜配置..同PPS(每秒封包數)有幾多??

---

作者: 樹下乘涼    時間: 2018-7-1 18:33

回覆 10# hinball


    係唔係直銷店果間同埋呢部機RUN有幾多PPS?

---

作者: HKMichaelKing    時間: 2018-7-3 04:01

PC Router 使用就快 10 年，一般使用下硬件升都升級了

Intel Xeon E3-1240L V5 (2.1Ghz, 4C8T)
Asus P10S-I
Samsung DDR4 ECC 2133 16GB *2
Fujitsu FSA 2.5" 64GB SSD (ESXi 6.0, pFsense 2.4.3)
Dell OEM Boardcom 5719 Quad Port Adapter
Silverstone SFX ST45SF-G 450W PSU
Silverstone ML05 Case

---

作者: 觀星是答案    時間: 2018-7-3 14:35


家用的話; 粒 CPU 絕對浪費左 ; 性能太好啦

---

作者: takayo72    時間: 2018-7-3 15:03

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: hinball    時間: 2018-7-3 15:26

回覆 62# takayo72


        3865u 做pfsense router 夠用有突, 我用緊呢隻, 唔使7200u咁勁

---

作者: takayo72    時間: 2018-7-3 15:38

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: frankihk    時間: 2018-7-4 13:19

回覆 58# 樹下乘涼


    Sorry 我都唔知佢幾多pps

---

作者: frankihk    時間: 2018-7-4 13:26

回覆 57# minki


    個情況係我向Godaddy / name.com 買左個domain(e.g. xyz.com之後我將name server 指去cloudflares之後 我想做到既係向pfsense 度用dynamic dns
我想做到既係 pf.home.xyz.com 個A record 係指 落1個IP例如 123.123.123.3  呢個用係屋企
pf.friend.xyz.com 個A record 係另一個IP213.13.32.4 呢個指去朋友A 度
pf.friend2.xyz.com 個A record 再指一個85.32.14.24 呢個指朋友B度

其實我試過指但個結果似乎係佢出error
唔好意思可能講到一舊舊

---

作者: minki    時間: 2018-7-4 18:50

本帖最後由 minki 於 2018-7-4 18:58 編輯

你係DSN有問題定SSL問題?

---

作者: hinball    時間: 2018-7-4 19:41

新出見到部j3160 幾抵, intel lan X4 , 有AES-NI
https://detail.tmall.com/item.ht ... &_u=4a1l0pdf844

---

作者: hklkf    時間: 2018-7-5 10:31

ok wor

https://detail.tmall.com/item.ht ... skuId=3597913027589

---

作者: moksiulai    時間: 2018-7-8 13:09

有冇師兄有裝pfsense plugin snort  IDS防火牆

---

作者: raywan    時間: 2018-7-8 21:25

本帖最後由 raywan 於 2018-7-8 22:33 編輯



    我有用pfsense+snort+pfblocker好多年
近期轉用pfsense+suricata

---

作者: moksiulai    時間: 2018-7-9 08:51

回覆 71# raywan

師兄其實Snort rules有冇教學去tune
因為試過一次snort幾乎咩都block哂
Speedtest 得2-3Mbps(用緊500Mbps plan) 定其實係要set pass-list
Thanks

---

作者: hinball    時間: 2018-7-9 08:57

回覆 72# moksiulai


    所以好小用IDS , 我自己只用pfblockerNG , 覺得其實夠, 又有人update 個list, IDS 要自己去個alert 到慢慢tune 係幾煩

---

作者: raywan    時間: 2018-7-9 12:01

本帖最後由 raywan 於 2018-7-9 12:05 編輯

回覆 72# moksiulai


    不要全選,我只選emerging-compromised.rules,emerging-current_events.rules,emerging-deleted.rules,emerging-dns.rules         ,emerging-dos.rules         ,emerging-drop.rules ,emerging-dshield.rules ,emerging-exploit.rules,         emerging-inappropriate.rules emerging-info.rules,merging-malware.rules,emerging-misc.rules ,emerging-mobile_malware.rules,emerging-scan.rules,emerging-trojan.rules,         emerging-worm.rules已經足夠
search method用AC-BNFAC or AC- split
可能你BT時block左peer IP,所以你download野好慢,有時我見好慢都del左blocked IP

---

作者: raywan    時間: 2018-7-9 12:03

回覆 73# hinball


    pfblocker 只係block左O的已知有問題IP,例如ADS server,hacker IP, GEO IP,spam IP,hacker係會轉IP,所以IDS/IPS係比較安全

---

作者: moksiulai    時間: 2018-7-9 19:07

回覆 74# raywan

常用尼d rules 可以？
因為佢成幾萬個rules 睇到眼花

---

作者: raywan    時間: 2018-7-10 01:28




    我覺得好足夠,好過只用pfblocker